蠕蟲攻擊的分析與即時檢測.pdf

1、伴隨互聯(lián)網(wǎng)技術(shù)的高速發(fā)展,因特網(wǎng)成為了信息交換的主要手段,但隨之而來的網(wǎng)絡(luò)安全問題也變的日益突出,網(wǎng)絡(luò)蠕蟲攻擊是影響網(wǎng)絡(luò)安全的重要因素,網(wǎng)絡(luò)蠕蟲的爆發(fā)率也越來越高,如何對網(wǎng)絡(luò)蠕蟲的防范是當(dāng)前急需解決的問題。在此背景下,本文主要目的是研究蠕蟲攻擊的即時檢測方法。
　　 本文對蠕蟲攻擊的技術(shù)進(jìn)行了詳細(xì)剖析,指出了蠕蟲攻擊的主要特征包括傳播主動性、傳播迅速性、利用漏洞性、網(wǎng)絡(luò)阻塞性、感染反復(fù)性,對于蠕蟲的功能模塊進(jìn)行劃分,對蠕蟲攻擊過

2、程進(jìn)行了分析。分析了常用的蠕蟲攻擊檢測方式,以現(xiàn)在流行的VDS為例,對不同形式下的蠕蟲攻擊方式的檢測方法進(jìn)行具體介紹。
　　 本文采用主機(jī)通訊圖的概念,將網(wǎng)絡(luò)中各個主機(jī)間的通訊狀況映射為圖的形式,提出了基于主機(jī)通訊圖的即時檢測模型,結(jié)合特有的黑名單模式,對整個網(wǎng)絡(luò)的通訊狀態(tài)進(jìn)行模擬和檢測,設(shè)計了利用主機(jī)通訊圖來進(jìn)行檢測的詳細(xì)流程。制定了一個主機(jī)節(jié)點的各個屬性值的計算方法。每隔一個時間周期,對結(jié)點的屬性值做一個計時處理。當(dāng)結(jié)點屬性

3、值小于零時,則將此結(jié)點判定為受蠕蟲攻擊的可疑結(jié)點,通過對圖中該結(jié)點的相關(guān)鄰接結(jié)點的遍歷過程找到其他主機(jī)結(jié)點,再次加以判斷是否為新可疑結(jié)點。在主機(jī)通訊圖模型的基礎(chǔ)上,提出了基于主機(jī)通訊圖的即時檢測方法,包括獲取檢測數(shù)據(jù)并進(jìn)行數(shù)據(jù)過濾,對主機(jī)通訊圖進(jìn)行處理,并以一個檢測實例的形式來驗證基于主機(jī)通訊圖檢測方式的性能。
　　 在同類檢測方法中存在不能在蠕蟲大范圍爆發(fā)前及時判斷和處理的問題和只能對網(wǎng)絡(luò)的某一臺主機(jī)進(jìn)行監(jiān)控,不能對整個網(wǎng)絡(luò)的

4、健康狀態(tài)進(jìn)行一個有效模擬和檢測的問題。為了解決這些問題,基于主機(jī)通訊圖的檢測方法根據(jù)蠕蟲傳播的特性,在其試圖進(jìn)行大規(guī)模傳播之前就已經(jīng)進(jìn)行了有效的檢測,對所有本地網(wǎng)絡(luò)中的所有主機(jī)的狀態(tài)做出了一個有效的判斷,將蠕蟲對整個網(wǎng)絡(luò)的影響范圍盡量縮??；另外,本文提出的檢測模型通過其特有的計時處理,記錄了最新的主機(jī)通訊情況,有效的解決了數(shù)據(jù)的無效堆積,提高了判斷的有效性和準(zhǔn)確性,并且其黑名單模式對于檢測效率提高有重要作用,并且可以作為一個自主學(xué)習(xí)機(jī)制